Para responder a tu pregunta, necesito mencionar otro producto de código abierto (OpenSSL) para hacer un paralelo con Linux y otros proyectos de código abierto ; así que permítame presentarle una breve historia al respecto y espero que entienda la lógica:
HeartBleed es un vulnerabilidad introducida por primera vez por Stephen Henson solo una hora antes de la víspera de año nuevo 2011 . Para ser más precisos, es Robin Seggelmann , que en ese momento era un Ph.D. estudiante en la Universidad de Duisburg-Essen que desarrolló la extensión HeartBeat para OpenSSL ( HeartBeat ya estaba presente en SSL2.0 especificación) y lo sugirió al OpenSSL El proyecto del desarrollador Stephen Henson, que no pudo encontrar el error y lo cometió en su repositorio. Otros sugieren que esta vulnerabilidad fue conocida y explotada hace mucho tiempo antes de que se anuncie públicamente.
¿Pero por qué menciono esto? Para hacerle saber que con el software de código abierto, al menos siempre puede comprobarlo usted mismo, especialmente si está trabajando en este campo de seguridad, si hay algún problema. El error HeartBleed siempre se ha visto públicamente por lo que teóricamente cualquier persona interesada podría detectarlo antes de eso investigador de seguridad de Google el 7 de abril de 2014. Pero en la práctica, nadie lo hizo (o tal vez los que lo descubrieron no lo revelaron y prefirieron aprovéchalo para sus objetivos personales).
Esta breve historia se aplica a todo el software de código abierto: teóricamente te ofrece la posibilidad de comprobar todo por ti mismo o con tu equipo y nada puede evitarlo. Eso ya es una gran ventaja y muchas vulnerabilidades de seguridad han sido prevenidas por las comunidades benevolentes. Pero en la práctica, ¿cuántas personas (estoy hablando de las personas que trabajan en el campo de la seguridad) tienen tiempo y habilidades para hacerlo? Y en caso de que alguien descubra una vulnerabilidad de seguridad en un proyecto de código abierto: ¿tendría la voluntad de revelarlo o simplemente aprovecharlo? Sin embargo, hay una cosa importante que mencionar acerca de HeartBleed: solo Stephen ha sido un desarrollador permanente, otros 11 miembros del proyecto OpenSSL no tienen nada que ver con la informática, y solo otro desarrollador lo ha estado ayudando de vez en cuando, a diferencia de otro gran proyecto de fuente abierta como Ubuntu que mencionó, por lo que, en teoría, la naturaleza de los riesgos puede ser menor en este caso.